Microsoft waarschuwt Windows-gebruikers voor een niet-gepatchte kritieke fout in de Windows Print Spooler-service. De kwetsbaarheid, PrintNightmare genaamd, werd eerder deze week ontdekt nadat beveiligingsonderzoekers per ongeluk een proof-of-concept (PoC) exploit hadden gepubliceerd. Hoewel Microsoft het beveiligingslek niet heeft beoordeeld, kunnen aanvallers op afstand code uitvoeren met privileges op systeemniveau, wat net zo cruciaal en problematisch is als in Windows.
Onderzoekers van Sangfor publiceerden de PoC, in wat een fout lijkt te zijn, of een miscommunicatie tussen de onderzoekers en Microsoft. De testcode werd snel verwijderd, maar niet voordat deze al op GitHub was geforkt.
Sangfor-onderzoekers waren van plan om later deze maand tijdens de jaarlijkse Black Hat-beveiligingsconferentie meerdere 0-daagse kwetsbaarheden in de Windows Print Spooler-service te beschrijven. Het lijkt erop dat de onderzoekers dachten dat Microsoft dit specifieke beveiligingslek had gepatcht, nadat het bedrijf patches had gepubliceerd voor een afzonderlijke Windows Print Spooler-fout.
Het beveiligingslek wordt actief misbruikt
Het heeft een paar dagen geduurd voordat Microsoft eindelijk een waarschuwing over de 0-dag afgeeft, en Bleepingcomputer meldt dat het bedrijf klanten zelfs waarschuwt dat het actief wordt uitgebuit. Door het beveiligingslek kunnen aanvallers externe code uitvoeren, zodat kwaadwillenden mogelijk programma's kunnen installeren, gegevens kunnen wijzigen en nieuwe accounts kunnen maken met volledige beheerdersrechten.
Microsoft geeft toe dat “de code die de kwetsbaarheid bevat in alle versies van Windows aanwezig is”, maar het is niet duidelijk of deze ook buiten de serverversies van Windows kan worden misbruikt. De Print Spooler-service wordt standaard uitgevoerd op Windows, ook op clientversies van het besturingssysteem, domeincontrollers en veel Windows Server-instanties.
Microsoft werkt aan een patch, maar totdat het is beschikbaar, het bedrijf raadt aan om de Windows Print Spooler-service uit te schakelen (als dat een optie is voor bedrijven), of om inkomend extern afdrukken uit te schakelen via Groepsbeleid. De Cybersecurity and Infrastructure Security Agency (CISA) heeft beheerders aanbevolen “de Windows Print Spooler-service uit te schakelen in domeincontrollers en systemen die niet kunnen afdrukken”.
Kwetsbaarheden in de Windows Print Spooler-service zijn al jaren een bron van hoofdpijn voor systeembeheerders. Het meest beruchte voorbeeld was het Stuxnet-virus. Stuxnet gebruikte meer dan tien jaar geleden meerdere 0-day-exploits, waaronder een Windows Print Spooler-fout, om verschillende Iraanse nucleaire centrifuges te vernietigen.